EMV
(
E
uropay
+
M
asterCard
+
V
ISA
) ? международный стандарт для операций по
банковским картам
с чипом. Этот стандарт первоначально был разработан совместными усилиями компаний Europay, MasterCard и Visa, чтобы повысить уровень безопасности финансовых операций.
Стандарт EMV определяет
физическое, электронное и информационное взаимодействие
между банковской картой и платёжным терминалом для финансовых операций. Базируется на стандартах
ISO/IEC 7816
для
контактных карт
, и стандартах
ISO/IEC 14443
для
бесконтактных карт
.
Первый стандарт для платёжных карт
Cartes Bancaires
M4 был создан во
Франции
в
1986 году
. EMV также предшествовал стандарт
Geldkarte
в
Германии
. EMV полностью совместим с этими двумя стандартами. Франция перевела все выпускаемые на территории страны карты на стандарт EMV.
В
мае 2010 года
было заявлено, что
United Nations Federal Credit Union
[англ.]
в
Нью-Йорке
выпустит первую карту стандарта EMV в
США
[1]
.
Основные преимущества ? повышенный уровень безопасности транзакций и возможность более точного контроля транзакций в ≪офлайн≫. Одна из целей EMV ? повысить функциональность карт (например, платёжная карта с электронным проездным).
Повышенный уровень безопасности обеспечивается за счёт ухода от визуального контроля (проверка продавцом голограммы, подписи, сверка имени с удостоверением личности) к использованию ПИН-кода и криптографических алгоритмов, таких как
DES
,
Triple DES
,
RSA
и
SHA
для аутентификации карты
Новый уровень безопасности позволил банкам-эмитентам карт перенести ответственность за утерянные средства таким образом, что теперь (с 1 января 2005 года в ЕС) торгующие организации или банки-эквайеры несут ответственность за мошеннические транзакции, совершенные при помощи систем, не поддерживающих стандарт EMV.
Фундаментальных уязвимостей чисто чиповых карт стандарта EMV не существует на текущий момент (2020). Платёжные системы постоянно отслеживают ситуацию с текущим уровнем технологии и заранее ужесточают требования к длине криптографических ключей и криптографическим алгоритмам, использующимся при издании чиповых карт.
На текущий момент (2020) допустимо издание чиповых карт, содержащих в том числе и магнитную полосу на самой карте, а также значение СVV2 (его называют разными терминами в зависимости от платёжной системы карты). Именно возможность провести транзакцию по чиповой карте, не используя собственно чип, является фундаментальной уязвимостью используемой на данный момент технологии - то есть для успешной поддельной транзакции достаточно скопировать магнитную полосу, иногда даже не нужен ПИН в этом случае. Или, что даже более просто - для поддельной транзакции через интернет торговца достаточно знать полный номер карты, срок её действия, и значение СVV2, которые просто текстом напечатаны на самой карте.
Платёжные системы осознают данные опасности, и в настоящее время происходит постепенный отказ от технологий, которые потенциально уязвимы. Это делается с помощью переноса ответственности за мошеннические операции, проведённые небезопасным образом, на продавцов или банки-эквайеры. Это вынуждает последних отказываться от небезопасных методов приёма транзакций, запрещая их или переходя на защищённые технологии, например,
3-D Secure
для интернет-платежей, и отказ от терминалов, принимающих исключительно карты по магнитной полосе и, как следствие, постепенное запрещение транзакций по магнитной полосе вообще.
В то время как технология EMV помогла снизить уровень преступности в торговых точках, мошеннические транзакции переместились в более уязвимые транзакции по
телефону
,
Интернету
и почтовым переводам, известные в отрасли как
транзакции без предъявления карты
или транзакции CNP.
[2]
Операции CNP составили не менее 50% всех случаев мошенничества с кредитными картами.
[3]
Из-за физического расстояния продавец не может предоставить покупателю клавиатуру в этих случаях, поэтому были разработаны альтернативы, в том числе
- Программные подходы к онлайн-транзакциям, которые включают взаимодействие с банком-эмитентом карты или веб-сайтом сети, например, Verified by Visa и Mastercard SecureCode (реализация протокола Visa 3-D Secure).
3-D Secure
теперь заменяется надежной аутентификацией клиентов, как это определено в Европейской директиве о вторых платежных услугах.
- Создание одноразовой виртуальной карты, привязанной к физической карте с заданной максимальной суммой.
- Дополнительное оборудование с клавиатурой и экраном, которое может выдавать
одноразовый пароль
, например программа аутентификации чипа.
- Клавиатура и экран интегрированы в сложные карты для создания
одноразового пароля
. С 2008 года Visa запускает пилотные проекты с использованием карты Emue, где сгенерированный номер заменяет код, напечатанный на обратной стороне стандартных карт.
[4]
Чип имеет существенно более высокую степень защиты по сравнению с магнитной полосой. Секретный ключ чипа, идентифицирующий карту в банковских операциях, хранится в защищённой памяти, он записывается в память чипа на стадии изготовления, и его невозможно оттуда извлечь с помощью внешних устройств, не нарушая целостности самого чипа. Регулярно публикуемая многими национальными банками статистика показывает значительное снижение случаев мошенничества при использовании EMV
[5]
.
Также чип, в отличие от магнитной полосы, гораздо менее подвержен воздействию магнитных полей.
|
---|
Типы карт
| |
---|
Глобальные платёжные системы
| |
---|
Локальные платёжные системы,
в том числе
закрытые
| |
---|
Основные кредитные карты
| |
---|
Основные дебетовые карты
| |
---|
Выпуск банковских карт
| |
---|
Приём банковских карт
| |
---|
Связанные понятия
| |
---|
Безопасность
| |
---|